Ecco come l’UE vuole la sicurezza informatica in Europa
Lo scorso dicembre, il Parlamento europeo, il Consiglio e la Commissione europea hanno raggiunto un accordo politico per il Cybersecurity Act, il provvedimento che imposta una politica comune sulla sicurezza informatica e che rafforza il mandato dell’ENISA – European Union Agency for Network and Information and Security, che avrĂ un ruolo diretto nella prevenzione e nella difesa dagli attacchi hacker allo spazio comune, coordinando le operazioni degli Stati membri.
L’obiettivo della legge è quello di sostenere gli Stati membri nell’affrontare le minacce e gli attacchi alla sicurezza informatica, stabilendo anche le regole e gli standard con cui valutare se prodotti e servizi informatici in vendita nell’Unione Europea sono sicuri e certificarli una volta sola in tutto lo spazio comune.
Tra l’11 e il 14 marzo, il Parlamento Europeo ha fissato il voto finale sul Cybersecurity Act. Successivamente, la Commissione Europea farà in modo che le nuove regole entrino in vigore tra aprile e maggio, in modo che siano pienamente operative per la fine del 2019.
Quali sono i vantaggi per cittadini e imprese?
Le nuove regole aiuteranno le persone a fidarsi dei dispositivi che usano ogni giorno perché potranno scegliere tra prodotti, come i dispositivi IoT, che saranno “cyber-sicuri”.
La certificazione di Cybersecurity comporterĂ un notevole risparmio economico per le imprese, in particolare le PMI, che altrimenti dovrebbero richiedere vari certificati per i diversi Paesi.
Inoltre, le aziende saranno incentivate a investire nella sicurezza informatica dei propri prodotti e trasformarla in un vantaggio competitivo.
Cos’è il cybersecurity certification framework?
Per cybersecurity certification framework si intendono le regole fondamentali per scrivere lo schema di certificazione di ciascun prodotto o servizio, per esempio un sensore, uno smartphone o un software di sicurezza informatica.
Sarà la Commissione europea ad assegnare i mandati a ENISA sui prodotti o i servizi da certificare. L’agenzia stenderà poi le bozze degli schemi, consulterà gli organismi di certificazione degli Stati membri, aziende e altri operatori, dopodiché sottoporrà il documento definitivo a Bruxelles, a cui spetterà dare l’ok definitivo. ENISA dovrà quindi negoziare sia con i portavoce degli Stati membri, sia con le aziende.
E in Italia?
Il decreto Gentiloni, quello della presidenza del Consiglio dei ministri del 17 febbraio 2017, prevede per l’Italia una strategia per la cybersecurity, in aggiunta a quelle europea.
Al ministero dello Sviluppo economico (Mise) sarà istituito un Centro nazionale di valutazione e certificazione (Cnvc) che sarà dotato di “un laboratorio interno per analizzare prodotti hardware e software e che si appoggerà anche a centri esterni accreditati
